Disaster Recovery & Business Continuity nella PA

Slides:



Advertisements
Presentazioni simili
Verso un sistema universitario di convalida dell'apprendimento non formale e informale. Il caso del CdL FSRU – Roma Tre Paolo Di Rienzo Firenze, 23 novembre.
Advertisements

L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.
1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione,
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Gestione delle configurazioni Configuration management (CM) E` un processo che controlla le modifiche fatte a un sistema e gestisce le diverse versioni.
La Business Continuity dall’esperienza Unicredit alla P.A.
SISTEMA di CONTROLLO INTERNO Bettina Campedelli - Revisione aziendale e sistemi di controllo 1 si sostanzia in un insieme di direttive, procedure e tecniche.
Umane RISORSE PROCEDURE DATI INFORMAZIONI RACCOLTA SELEZIONE ELABORAZIONE COMUNICAZIONE DISTRIBUZIONE ARCHIVIAZIONE Materiali.
LE ATTIVITA’ DI CONTROLLO ALL’INTERNO DELL’ENTE LOCALE
COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO
HYSTRIX Dario BRUNO protects your network Cisco ID: CSCO
Sistemi e Applicazioni per l’Amministrazione Digitale
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
L’approccio per la realizzazione dei servizi di Disaster Recovery e Business Continuity Giuseppe Ceglie Responsabile Dipartimento Infrastrutture Tecnologiche.
Progetti integrati per il sistema di emergenza sanitaria
CARATTERISTICHE DI UN DATACENTER
GPOI - L’organizzazione aziendale -
Un modello di Security Risk Management
Sistemi e Applicazioni per l’Amministrazione Digitale
Settore Protezione Civile
E. Bovo – Servizio Affari Legali INFN
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
Paolo Lo Re, CdS 5 giugno 2017 Novità dalla CCR.
elementi caratterizzanti e fasi principali
TAVOLO TEMATICO …SPVSA……...
LA PIANIFICAZIONE DEL P.O.F.
Responsabile Funzione Impianti
GIORNATA DELLA TRASPARENZA 2016
esercitazioni comunicazione
Seminario Le Autorità di Certificazione nella programmazione 2007/2013
Modulo 3 Costituzione del consorzio dei partner
Gli strumenti informativi-integrativi dell’assistenza infermieristica
“Dalla progettazione alla valutazione”
Incontro con Direttore Generale 10/10/2012
Utilizzo del lavoro di altri Revisori
Come si acquisiscono queste informazioni?
Corso di Economia aziendale
Aggiornato al D. Lgs. n. 185 del 2016
Comitato Paritetico Strategia Nazionale Biodiversità
2015.
MODULO 1 – Computer essentials
PIANO STRATEGICO per il consolidamento e il miglioramento delle attività a tutela della salute e della sicurezza dei Lavoratori Venezia 17 luglio.
IL DISASTER RECOVERY Ing. Massimiliano Zuffi
Predisposizione e presentazione della domanda di nullaosta
Smart City.
Il servizio di Help desk
Il nuovo Piano Territoriale degli Orari: il processo e i suoi contenuti Consiglio Comunale, 19 luglio luglio 2018.
RETE TELEMATICA IMPRESE FORMATIVE SIMULATE
Istituto Tecnico Economico
Leggi, teoria e pratica.
Il Piano Didattico Personalizzato
I servizi di backup locale e backup in cloud
Piano di formazione e aggiornamento docenti
CUSTOMER SATISFACTION
Predisposizione e presentazione della domanda di nullaosta
Gestione dell'Emergenza
Organizzazione e attività
Progetti Quadro Legge 236/93 – Anno 2008 Bando 277
CLUSTER INTERNAZIONALIZZAZIONE RELATORI: LEONARDINI, MAIELLARO
Aspetti normativi del D.Lvo n. 196 del 2003
Come la crisi ha cambiato il mercato
Referente Amministrativo di Direzione Territoriale
Referente Amministrativo di Direzione Territoriale
Le strutture organizzative del
Il protocollo informatico e il Manuale di Gestione
Trasformazione digitale
Valutazione del servizio
Vicepresidente nazionale Piccola Industria
QUALITA’ ED ACCREDITAMENTO
Transcript della presentazione:

Disaster Recovery & Business Continuity nella PA L’esperienza del Sistema Informativo della Fiscalità

Il Sistema informativo della Fiscalità Il Sistema Informativo della Fiscalità (SIF) indica l’insieme delle risorse, degli apparati, degli strumenti, delle regole e delle relazioni di cui dispongono le Strutture Organizzative per il perseguimento dei propri fini istituzionali, anche con riferimento alle funzioni di cui all’art. 57 del D. Lgs. 300/1999, ivi compresi i sistemi per il controllo e per la gestione dei giochi pubblici, e quelli in corso di integrazione attraverso Equitalia S.p.A. ForumPA Roma, 25/05/2017

La Costituency Le strutture Organizzative del SIF non sono altro che i centri di responsabilità dell’Amministrazione Finanziaria e che operano in campo fiscale e doganale: Il Dipartimento delle Finanze del Ministero dell’Economia e delle Finanze, l’Agenzia del Demanio, L’Agenzia delle Dogane e dei Monopoli, L’Agenzia delle Entrate, Equitalia, Guardia di Finanza Sogei S.p.A. è la società che gestisce, secondo il modello dell’in house providing, dal punto di vista operativo il settore ICT del SIF. ForumPA Roma, 25/05/2017

La Sicurezza L’Amministrazione Finanziaria ha da sempre tenuto in alta considerazione la protezione e la salvaguardia del patrimonio di dati e informazioni gestiti, bene inestimabile per il Sistema Paese. Riservatezza, integrità e disponibilità hanno da sempre costituito gli assi portanti su cui è stato costruito, e si evolve, il paradigma della sicurezza. Due direttrici: la prima è relativa all’attuazione di un Sistema di Gestione della Sicurezza delle informazioni (SGSI) di ispirazione ISO 27001, inteso ad assicurare un continuo miglioramento ed integrazione dei sistemi già esistenti attraverso l’individuazione delle specifiche componenti strumentali ed organizzative necessarie, a svolgere un costante monitoraggio dello stato della sicurezza e a determinare coerentemente le linee di evoluzione future; la seconda, strettamente connessa alla prima, riguarda l’attuazione delle norme vigenti e dei provvedimenti emessi dall’Autorità Garante in tema di privacy, attraverso la definizione di un Sistema di Gestione della Privacy (SGP). ForumPA Roma, 25/05/2017

Le dimensioni del SIF Il SIF da un punto di vista infrastrutturale è una realtà fortemente centralizzata, sono centralizzate le basi dati e le componenti ospitanti i servizi. L’infrastruttura di rete è collegata al Sistema Pubblico di Connettività, così come stabilito dal CAD e ad Internet. Sono circa 1500 gli uffici distribuiti sul territorio con collegamenti in rame e/o in fibra con doppi circuiti. Un CED primario in Roma che rappresenta l’Anagrafe Tributaria. Un CED secondario in località diversa con funzioni di Disaster Recovery. ForumPA Roma, 25/05/2017

Le dimensioni del SIF Il CED Anagrafe Tributaria è composto da due mainframe con potenza pari a circa 35.000 MIPS. Il CED secondario è composto da un mainframe con potenza pari a oltre 1200 MIPS con capacità elaborativa «dormiente». Sistemi RAID per 500 TB per l’area mainframe. Sistemi Open Centrali in ambienti Linux, Unix, Windows, ESX. Oltre 5000 server di cui 80/85 % virtuali/partizioni per circa 40 x 106 SPEC ForumPA Roma, 25/05/2017

Alcuni concetti Gli eventi non desiderati causa dell’indisponibilità dei servizi IT che li rendono di fatto inutilizzabili possono essere convenzionalmente classificati tra “Fisici”, ossia problemi su risorse infrastrutturali e tecnologiche che vanno dai semplici malfunzionamenti hw fino all’inagibilità prolungata di edifici (es. CED) e “Logici” ossia problemi causati dal software, dagli errori applicativi alle azioni di virus o hacker. La soluzione di Disaster Recovery indirizza gli eventi a più alto impatto a fronte di una più bassa probabilità e deve soddisfare alcuni requisiti, la cui soddisfazione graduale, ne costituisce l’obiettivo progettuale: salvaguardia dei dati; disponibilità i una capacità elaborativa alternativa; predisposizione di un piano di ripristino; garanzia di adeguati livelli di servizio; verifiche periodiche. ForumPA Roma, 25/05/2017

La scelta fatta Tra le ipotesi per le strategie di ripristino (Empty Shell, Outsourcing, Hot Site) l’Amministrazione Finanziaria ha, da molto tempo, scelto la soluzione interna Hot Site tenendo in considerazione: Disponibilità per prove di simulazione (requisito che esclude l’empty shell) Garanzia di funzionalità del sistema Tempi di ripristino contenuti (requisito che esclude l’empty shell) Riservatezza dei dati (requisiti che escludono l’outsourcing) Possibilità di Business Continuity Rispondenza alle best practices Distanza Vie di accesso e collegamenti Sicurezza (comprensorio sottoposto a vigilanza) Logistica (climatizzazione, condizionamento, foresteria) ForumPA Roma, 25/05/2017

La Business Impact Analysis L’Amministrazione Finanziaria: ha svolto circa 15 anni fa per la prima volta un complesso lavoro di analisi svolta attraverso la ricostruzione delle dipendenze tra processi, sistemi informatici, kit applicativi e server. ha classificato i propri servizi applicativi in base ad un indice di criticità a valori crescenti. ForumPA Roma, 25/05/2017

La Business Impact Analysis Il lavoro allora svolto: Censite 1200 applicazioni Censiti 147 processi dell'Amministrazione finanziaria Censiti 102 sistemi Censiti oltre 1000 server Compilati 300 questionari Coinvolte oltre 120 persone Realizzate oltre 1200 pagine di rapporti Ricostruite le dipendenze tra processi, sistemi e server. ForumPA Roma, 25/05/2017

La Business Impact Analysis Nella valutazione dell’indice di criticità sono stati tenuti in considerazione i parametri RTO, RPO e OD. RTO - Recovery Time Objective – il tempo massimo espresso in ore di indisponibilità del servizio, ovvero il tempo entro il quale il servizio da proteggere deve essere ripristinato; RPO - Recovery Point Objective - perdita dati sostenibile, in termini di ore, tra il verificarsi dell’emergenza e l’ultimo salvataggio utile e ripristinabile dei dati; OD - Operational Dependency - peso del servizio sui processi amministrativi calcolato utilizzando la matrice degli impatti. La matrice degli impatti tiene conto delle dimensioni di rischio relative a: perdite finanziarie dirette, compromissione delle attività, perdite di immagine e sanzioni amministrative e/o penali previste dalla normativa per eventi che riguardano le aree della riservatezza, dell’integrità e della disponibilità dei dati. ForumPA Roma, 25/05/2017

La Business Impact Analysis SITUAZIONE Processi amministrativi Applicazioni ? Capire i legami tra applicazioni e processi Valutare l’impatto di fermo Definire le priorità di intervento D. R. Processi amministrativi critici Applicazioni Destinate al Recovery ForumPA Roma, 25/05/2017

La Business Impact Analysis Costo di ripristino Server Storage Rete Costo di fermo Organizzativo Economico Immagine legale Server utilizzati Architettura / processori / RAM Analisi delle applicazioni Dati gestiti e modificati Servizi utilizzati ForumPA Roma, 25/05/2017

Criticità dei processi ForumPA Roma, 25/05/2017

Le scelte possibili ForumPA Roma, 25/05/2017

Le modalità di Disaster Recovery BASE - prevede la remotizzazione presso il sito di Recovery delle sole banche dati che, anche sulla base di un’analisi d’impatto, sono state dichiarate critiche. In pratica si mantiene nel sito secondario una copia, in modalità telematica, costantemente aggiornata delle basi dati delle applicazioni, al fine di salvaguardarne, a fronte di ogni evenienza, l’integrità (copie “primarie” e copie “secondarie”). ESTESO - prevede oltre al salvataggio dei dati la possibilità di riavviare presso il sito di Recovery tutte le funzionalità operative previste. ForumPA Roma, 25/05/2017

Il Piano di Continuità Operativa ICT L’Amministrazione Finanziaria attraverso la costruzione del proprio piano di continuità operativa ICT (PCO ICT) ha identificato l’organizzazione, e definito procedure e mezzi tecnici che le Strutture Organizzative del SIF si devono dotare o si sono dotate per ripristinare, in caso di interruzione, i propri servizi, reagendo agli eventi in modo tempestivo e stabilendo un flusso di comunicazione rapida ed efficace. Il PCO ICT prevede la messa in campo di opportune azioni da parte degli organismi e figure coinvolti nel processo di gestione della continuità operativa e questo per ogni livello di classificazione degli eventi che sono stati individuati. ForumPA Roma, 25/05/2017

Il Piano di Disaster Recovery Il Piano di Disaster Recovery è parte integrante del PCO ICT, e costituisce l’insieme delle misure tecnico-organizzative per garantire alle Strutture Organizzative del SIF di gestire il ripristino di servizi informatici critici a fronte di eventi disastrosi che rendano indisponibile per periodi prolungati il CED primario, attraverso l’attivazione di CED secondario predisposto in sito alternativo. L’Organizzazione di Recovery, disegnata a suo tempo, è stata rivista e integrata nel piano di continuità operativa ICT. ForumPA Roma, 25/05/2017

PCO ICT strutture e figure Il PCO ICT ha identificato strutture e figure coinvolti nel piano: Comitato di Governo del SIF; Comitato per la Sicurezza ICT del SIF; Comitato di Gestione della crisi; Referenti CO; Strutture operative di Sogei; Responsabili Sistemi Informativi; Responsabili di prodotti servizi specifici e/o punti di piano tecnico; Responsabili di uffici locali; ForumPA Roma, 25/05/2017

Organizzazione di Recovery L'organizzazione di Recovery deve garantire la messa in campo di tutte le misure atte a ridurre l'impatto di un evento disastroso, rendere disponibili risorse alternative a quelle non disponibili, governare i momenti di crisi e gestire il rientro alla normalità. I principali compiti da svolgere sono: • predisposizione delle misure per affrontare le emergenze; • esame della situazioni di crisi; • dichiarazione di disastro; • recovery dei servizi IT; • governo e coordinamento della crisi; • gestione delle comunicazioni interne ed esterne; • attività procedurali e gestionali; • ricostituzione dell'operatività; • cura degli aspetti amministrativi, gestionali, legali; • rientro alla normalità. ForumPA Roma, 25/05/2017

Organizzazione di Recovery Comitato di gestione della crisi Comitato per la Sicurezza ICT Responsabili Uffici locali Referenti CO Comitato di Governo del SIF Gruppo di coordinamento tecnico Team funzionale applicativo Team tecnico operativo Team amministrativo Team di help desk Team di rientro Strutture operative Sogei ForumPA Roma, 25/05/2017